如何防止 USB 上的持久安装或完整安装访问计算机的 HDD?
如果我以访客身份登录,则无法访问硬盘,但是会话之间没有持久性。我想在会话之间保存。
如果我创建一个“标准”用户,则输入密码后即可访问硬盘。我希望从闪存驱动器启动时无法访问硬盘。
我记得在以前的 Ubuntu 版本中有一个用户权限下拉菜单。我在 14.04 或更高版本中找不到它。
互联网上有关于使用权限限制访问的信息,但它似乎比下拉菜单复杂得多。
答案1
标准用户的持久活动驱动器,无法安装内部驱动器
我做了一个持续的现场驾驶韓國来自ubuntu-16.04.1-desktop-amd64.iso
,这是目前 iso 文件支持时间最长的。
标准用户 ID (与普通实时系统的用户 'ubuntu' 一起) 无法运行需要以下程序sudo
:“standard 不在 sudoers 文件中。此事件将被报告。”内部驱动器上的分区未安装。要安装它们,您需要具有和 的sudo
权限。mount
udisksctl
持久实时系统将启动到 ubuntu 用户,然后您注销才能切换到标准用户。
使用加密主页users-admin
可以创建带有加密主页的标准用户 ID,并使用 [好] 密码登录。如果users-admin
通过激活存储库universe
并安装软件包来安装该程序,则可以轻松完成此操作gnome-system-tools
。
sudo add-apt-repository universe
sudo apt update
sudo apt install gnome-system-tools
根据屏幕截图勾选该框以创建具有加密主页的新用户。
使用加密主页后应关闭或重启计算机。否则,实时用户(或其他用户)就可以访问加密数据。
具有标准用户和具有管理权限的用户的持久实时驱动器
我做了一个持续的现场驾驶韓國来自ubuntu-16.04.2-desktop-amd64.iso
,这是一个较新的 LTS iso 文件,以便测试这些任务是否适用于多个 iso 文件。
在某些计算机中,登录后(注销后)系统可能会让您看到黑屏。这可能取决于图形驱动程序。如果发生这种情况,您可以使用鼠标或键盘进行一些操作以进入桌面。如果仍然没有运气,您可以输入文本屏幕,然后使用热键组合返回图形屏幕
ctrl+ alt+F1
ctrl+ alt+F7
可以创建另一个具有管理权限的用户 ID,用于管理系统任务,例如安装和升级程序包(如果您出于安全原因想要分开这些任务)。如果您愿意,可以为一个(或两个)用户 ID 设置加密主页。
使用这两个用户 ID,可以删除实时系统的普通用户“ubuntu”。您可以在终止以用户“ubuntu”身份运行的进程后,从具有管理权限的用户 ID 执行此操作
ps -Af | grep ubuntu # identify which processes to kill
sudo kill <the PID numbers that you found (without any brackets)>
sudo deluser ubuntu
之后,您还可以删除“casper-rw”分区(或文件)中有关已删除用户的内容(如果您愿意),但可能没有太多数据,因此不是很重要,除非您怀疑有一些机密数据。
现在删除实时系统的普通用户 'ubuntu' 后,持续直播系统将启动到登录屏幕,您可以选择以哪个用户 ID 登录,标准用户或具有管理权限的用户。我喜欢这种行为,并且我认为它值得付出额外的努力(与具有标准用户的系统以及正常实时系统的用户“ubuntu”相比)。
备份很重要
经常备份很重要,因为它是
持久实时系统(使其敏感)
加密系统(难以修复/恢复)。
请参阅此链接:持久覆盖数据的备份和恢复
安全 - 关闭交换
如果此类系统在内部驱动器中找到交换分区,它可能会使用它,并可能留下未加密的痕迹。所以请如果计算机内部驱动器中有 Linux 交换分区,请关闭交换。您运行系统的位置。
您必须登录或使用具有管理权限的用户 ID“guru”来“su”才能关闭交换
su - guru
/sbin/swapon -s # check
sudo /sbin/swapoff -a
/sbin/swapon -s # check
exit
与已安装的系统相比
将这种持久的实时系统与已安装的系统(两种情况下都在 USB 闪存盘中)进行比较,
优势:
- 比已安装的系统更具便携性。
缺点:
较不稳定(比已安装的系统更不稳定)。
安全性较差(加密主目录的安全性不如加密磁盘,这在已安装的系统中是可能的)。但它可能足够安全。
答案2
正如前面提到的,没有对机器的物理控制就没有真正的安全性,而只是关注标准用户并限制对磁盘的访问,这是默认设置。除非您在 /etc/fstab 中输入一个条目以允许普通用户挂载分区,否则他们无法挂载它。
你说的话让我有点困惑,但是 sudo 访问可以通过 sudo 组或“admin”组进行(11.10 之后不再存在,但仍在 sudoers 文件中)。显然,“admin”不是 /etc/adduser.conf 中列出的系统组)。由于“ubuntu”条目位于 /etc/sudoers.d/casper 文件中,因此这为 ubuntu 提供了 sudo 功能。
我启动了 aa(持久)mkusb USB 媒体,创建了一个用户,但该用户无法挂载我的硬盘,也没有任何 sudo 功能。
因此,问题在于默认用户“ubuntu”没有密码,但具有 sudo 功能(直接来自 /etc/sudoers.d/casper)——这使得任何人都可以使用 sudo 功能,因为他们可以切换到 ubuntu 用户。这是一个实时媒体,有些功能不会像完整安装那样工作,但由于您有另一个 sudo 用户,请按顺序尝试:
删除 /etc/sudoers.d/casper 文件。这将删除 ubuntu 的 sudo 访问权限。
为 ubuntu 用户设置密码。这本身可能就足够了,但 /etc/sudoers.d/casper 文件中有一个很大的“NOPASSWORD”,可能也需要更改。
彻底删除 ubuntu 用户。